•  
    • Bewirb dich jetzt!
    •  
      • Start
      • Leistungsprofil
        Leistungsprofil
        • IT-Infrastruktur
          IT-Infrastruktur
          • Beratung
          • Lösungen
            Lösungen
            • Storage und Backup
            • IT- & Organisations-Check
            • Log- und Eventmanagement
            • Netzwerk
            • Virtualisierung
            • Applikationen
            • Microsoft 365
          • Branchen
          • Kompetenzen
        • IT-Security
          IT-Security
          • Beratung
          • Lösungen
            Lösungen
            • Prozessorientiertes ISMS
            • IT-Security Check
            • Awareness-Schulung
            • Zugangsmanagement
            • Gateway
            • Endgeräte
            • Verschlüsselung
            • Schwachstellenmanagement
          • Branchen
          • Kompetenzen
        • IT-Service
          IT-Service
          • Lösungen
            Lösungen
            • IT-Dokumentation
            • IT-Monitoring
            • Schnittstellentechnologie
          • Kompetenzen
          • Kunden
        • ISMS und BCMS
          ISMS und BCMS
          • Lösungen
            Lösungen
            • Informationssicherheits-managementsystem (ISMS)
            • Informationssicherheits-Risikomanagement
            • Business Continuity Management (BCM)
            • Tool für prozessintegriertes Managementsystem
            • Sicherheitskonzepte und Sicherheitsrichtlinien
          • Branchen und Kunden
          • Kompetenzen
        • Support- und Managed Services
          Support- und Managed Services
          • Beratung
          • Lösungen
            Lösungen
            • SHD User Help Desk
            • Cloud Backup
              Cloud & Managed Services
              • Self-Service
              • Virtualisierung
              • Full-Service
            • IT- & Organisations-Check
            • Basisunterstützung
            • Betriebsunterstützung
            • Betriebsverantwortung
            • Cloud-Strategie
          • Kompetenzen
          • Kunden
        • Digitalisierung von Prozessen
          Digitalisierung von Prozessen
          • Beratung
          • Lösungen
            Lösungen
            • Digitales Wachstumspaket
            • Investitionsmanagement
            • Prozessdokumentation
            • HR: E-Recruiting
            • Kaufmännische Prüfung
            • Rechnungseingang
            • HR: Fehlzeitenmanagement
          • Branchen
          • Kompetenzen
          • Kunden
        • Branchenspezifische IT-Lösungen
          Branchenspezifische IT-Lösungen
          • Healthcare
            Healthcare
            • KHZG
            • ISMS
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
        • Branchenspezifische IT-Lösungen
          • Healthcare
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
      • Über SHD
        Über SHD
        • Entwicklung
        • Standorte
        • Partnerschaften
        • Engagement
      • Referenzen
      • Aktuelles
        Aktuelles
        • News
        • Veranstaltungen
        • Fachartikel
        • Podcast
      • Karriere
        Karriere
        • Bewerbungsprozess
        • Stellenangebote
          Stellenangebote
          • Einsteiger
          • Erfahrene
          • Schüler & Studenten
        • Jobs, die begeistern!
          Jobs, die begeistern!
          • Senior System Engineer
          • Softwareentwickler
          • IT-Consultant / Project Manager
          • BPM Consultant
          • Technology Consultant
          • Service Manager im Helpdesk
      • Kontakt
        Kontakt
        • Ansprechpartner
     
    • Startseite
    • Aktuelles
    • Fachartikel
    •  Überall nur Daten - Teil 1

    Überall nur Daten! Splunk (Teil 1)


    Einführung in das Log- und Event-Management

    Wer kennt es nicht, stundenlange Fehlersuche in Logfiles. Doch ist das noch zeitgemäß? Gibt es keine einfache Methode? Ein Google für Logfiles? Einfach, schnell und effizient? Hierbei unterstützen Log- und Event-Management-Systeme, die in der Lage sind, Logfiles und Ereignisse zu indizieren, korrelieren, visualisieren, auszuwerten und zu benachrichtigen. Ziel solcher Systeme ist:

    • Die Sicherstellung eines stabilen Betriebes und Einhaltung von Service Leveln
    • Transparenz von IT-Systemen bis hin zur Applikation
    • schnelle Erkennung von Fehlern, Sicherheitsrisiken und Anomalien
    • Ein detaillierter Überblick von Kunden-, Nutzer-, und Computerverhalten
    • Überwachung von IT-Umgebungen, unabhängig von der Plattform oder dem Standort.

    Splunk als führender Anbieter in den Bereichen Log- und Event- Management, SIEM und Operational Intelligence hat mit Splunk Enterprise die passende Lösung für alle diese Anforderungen. Gegenüber seinen Wettbewerbern zeichnet sich das Produkt durch ein Schema on the Fly aus. Das heißt, Daten müssen nicht vorab mühselig gefiltert werden, sondern das Schema der Daten wird zur Laufzeit abgefragt. Ferner sind Funktionen wie Berechtigungsmanagement, Export von Daten, automatisierte Reports und Alarme, Real Time Überwachung und ein nahtloses Scale Out bereits out of the box vorhanden. Von Vorteil ist auch eine lebhafte Community, die anderen Nutzern neue Plug-Ins zur Verfügung stellt.

    Abbildung 1: Anwendungsbereiche

    Die Abbildung 1 zeigt eine Auswahl von Anwendungsbereichen und Möglichkeiten eines Dashboards am Beispiel eines Online-Handels. Es gliedert sich in die 5 Splunk-Bereiche sowie eine kumulierte Ansicht. Die einzelnen Events können mittels Klick detailliert angezeigt werden, wenn notwendig bis auf den entsprechenden Logeintrag. Der Bereich Application Delivery zeigt einen Überblick zu einzelnen Applikationen und Diensten sowie deren Verhaltensmuster und Latenzen. So können z.B. Citrix-Umgebung, zwecks Optimierung der Logon-Zeiten analysiert oder Mailserver überwacht werden.

    Der Bereich IT Operations umfasst die Überwachung der klassischen IT-Infrastruktur, wie Firewalls, Switche, Betriebssysteme, Storage Systeme und Load Balancer aber auch Basisapplikationen wie Webserver, Verzeichnisdienste, Identitiy Provider und Cloud Dienste. Hier werden die Mehrzahl an kostenfreien Plug-Ins (>500) geboten. Somit lassen sich z.B. Logauswertungen von Active Directory Controllern schnell und einfach ausführen. Somit finden Sie die Ursache für gesperrte Nutzerkonten innerhalb von Minuten. Im Bereich Security werden anormale Verhaltensmuster dargestellt, welche auf einen Angriff mittels SQL Injektion zurückzuführen sind. Business Analytics zeigt die Umsatzentwicklung des Unternehmens, diese basiert auf der Analyse der Webserver Logs. Der Bereich Internet of Things wertet im Beispiel Klima und Stromversorgungsdaten aus. Hierdurch lassen sich auch Rückschlüsse auf die Auslastung der Systeme treffen. Der Bereich Operational Intelligence stellt eine Übersicht der einzelnen Bereiche zur Verfügung. Die Einführung erfolgt Use Case bezogen. Hierbei empfiehlt sich folgende Vorgehensweise:

    Abbildung 2: Vorgehensweise zur Einführung

    Aufbau einer Splunk-Umgebung

    Splunk passt sich den Anforderungen durch eine sehr gute Skalierung „vom Desktop bis zum Enterprise“ den Kundenanforderungen an. Kleinere Installationen bis maximal 20 GB pro Tag können auf einem Host oder innerhalb einer VM als Einzel-Instance verwaltet werden. Bei hohem Performancebedarf oder einem hohen Logvolumen empfiehlt es sich, die Funktionen aufzuteilen. Die wichtigsten 3 Hauptkomponenten hierfür sind:

    • Forwarder – Diese sammeln Daten von den Zielsystemen und leiten diese an einen oder mehrere Indexer weiter.
    • Indexer – Empfangen die Daten. Im weiteren Verlauf werden diese indexiert und gespeichert.
    • Search Head – stellen das Frontend zum User dar. Über diese werden Suchanfragen gestartet. Im weiteren verteilt diese Anfragen an die Indexer. Die Antworten der Indexer werden vom Search Head konsolidiert und dem Benutzer zur Verfügung gestellt. Hier können diese auch mittels Dashboards und Reports aufbereitet werden.

    Das Zusammenspiel ist schematisch auf der folgenden Skizze (Abb. 3: Architektur) dargestellt.

    Universal Forwarder eignen sich dank Ihrer geringen Anforderungen zur Installation auf Serversystemen (z.B. Web- und Mail- Server), um Daten wie z.B. Logfiles an ihrem Ursprung zu erfassen und weiterzuleiten. Diese sind für diverse Betriebssysteme und Plattformen verfügbar. Die Lizenz zur Nutzung ist bereits kostenfrei enthalten. Die Steuerung erfolgt mittels Command Line.

    Indexer benötigen eine hohe Performance des Datenspeichers, welche in größeren Umgebungen 1200 IOPS pro System nicht unterschreiten sollte. Die Speicherung erfolgt in sogenannten Buckets, welche in Hot, Warm und Cold unterschieden werden. Ein entsprechendes Tiering kann eingerichtet werden.

    Search Heads haben einen hohen CPU-Bedarf. Die Performance ist abhängig von der Anzahl paralleler Anfragen und User sowie der Berechnungsintensität der Aufgaben.

    Suchabfragen

    Ähnlich wie bei Google sind Operatoren aber auch eine spezielle Syntax notwendig, um eine Suchen schnell und effizient zu gestalten. Ferner bietet Splunk die Filterung auf Basis einer Zeitangabe und den Bezug auf einen Index, um Anfragen effizient zu gestalten. Unterstützt wird dies durch die „Fields“-Auswahl in der Suche. Dies ermöglicht Abfragen auch ohne tiefgreifende Splunk-Kenntnisse.

    Fazit

    Applikationen und Geschäftsprozesse sind heute abhängiger von der IT als je zuvor. Durch diverse Querverbindungen zwischen einzelnen Applikationen wird es zunehmend schwieriger und zeitaufwändiger Probleme zu identifizieren, Systeme zu überwachen und Ausfälle zu vermeiden. Klassische Verwaltungs- und Analyse-Werkzeuge sind nur für Teilbereiche ausgelegt oder sind zu unflexibel, um mit den anfallenden Daten und Veränderungen Schritt zu halten.

    Die wachsende Anzahl an Log- und Event- Daten erfordert eine zentrale Sicht auf die anfallenden Daten, um diese systemübergreifend auszuwerten. Verringern Sie Ihre Betriebsaufwände und erhöhen Sie die Sicherheit durch die Einführung eines Log- und Event-Management-Systems. Optimieren Sie Vorgänge und Prozesse im Unternehmen, indem Sie vorhandene Daten nutzen und bisherige Abläufe beschleunigen.

    Kontaktieren Sie uns, wenn Sie mehr wissen wollen.

    Erfahren Sie im 2. Teil, wie Sie eine Angriffserkennung mit Splunk realisieren können inkl. eines praktischen Beispiels.

    Weiterführende Informationen

    Log- und Eventmanagement

    Jetzt SHD.News als E-Paper abonnieren

    Bildquelle/Copyright: © Sergey Nivens — fotolia.com

    • News
    • Veranstaltungen
    • Fachartikel
    • Podcast

    Veranstaltungen

    01.02.2023 - 01.02.2023 |
    SHD bewegt: Cyber-Resilienz

    weitere

    Ansprechpartner

    Christian Müller

    Christian Müller
    Technology Consultant

    Tel.: +49 (351) 42 32 - 160
    christian.mueller(at)shd-online.de

     

     
     
     
    SHD - Standorte
    <strong>SHD Geschäftsstelle Hamburg</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Berlin</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Lausitz</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Leipzig</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Nürnberg</strong><br />Kontaktinformationen<strong>SHD Hauptsitz Dresden</strong><br />KontaktinformationenSHD-StandorteCompass Gruppe
    Zertifizierungen

    SHD ist zertifiziert nach ISO 9001 und ISO 27001

    Social Media
    •  
    •  
    •  
    •  
    •  
    •  
    •  
    Portfolio
    • IT-Infrastruktur
    • IT-Security
    • IT-Service
    • ISMS und BCMS
    • Support- und Managed Services
    • Digitalisierung von Prozessen
    Kundenmagazin

    Alles Wichtige aus IT-Welt und SHD auf einen Blick

    SHD-News abonnieren

    © 2023 SHD System-Haus-Dresden GmbH
    • Start
    • Datenschutzinformation
    • Datenschutzinformation: Social-Media-Präsenzen
    • Sitemap
    • Impressum
    • Kontakt

    Schön, dass Sie sich für unser Angebot interessieren!

    Dürfen wir Ihnen regelmäßig interessante Neuigkeiten zu aktuellen IT-Themen senden?

    Newsletter abonnieren

    Schon von unserem Podcast gehört?

    Mit 'IT aufs Ohr' immer über aktuelle IT-Trends informiert sein.

    Podcast abonnieren

    Consent-Einstellungen